As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Sobre como inscrever contas existentes
Você pode estender a governança da AWS Control Tower para um indivíduo, existente Conta da AWS quando você o inscreve em uma unidade organizacional (OU) que já é governada pela AWS Control Tower. Existem contas qualificadas em pessoas não registradas OUs que fazem parte da mesma AWS Organizations organização da OU do AWS Control Tower.
Existem vários métodos para inscrever contas no AWS Control Tower. As informações nesta página se aplicam a todos os métodos de inscrição.
nota
Você não pode inscrever uma AWS conta existente para servir como sua conta de auditoria ou arquivamento de registros, exceto durante a configuração inicial do landing zone.
O que acontece durante a inscrição da conta
Durante o processo de inscrição, o AWS Control Tower executa estas ações:
-
Aplicar linhas de base à conta, que inclui a implantação destes conjuntos de pilhas:
-
AWSControlTowerBP-BASELINE-CLOUDTRAIL -
AWSControlTowerBP-BASELINE-CLOUDWATCH -
AWSControlTowerBP-BASELINE-CONFIG -
AWSControlTowerBP-BASELINE-ROLES -
AWSControlTowerBP-BASELINE-SERVICE-ROLES -
AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES -
AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1
É uma boa ideia revisar os modelos desses conjuntos de pilhas e verificar se eles não entram em conflito com suas políticas existentes.
-
-
Identifica a conta por meio de Centro de Identidade do AWS IAM ou AWS Organizations.
-
Coloca a conta na UO especificada. Certifique-se de aplicar tudo o SCPs que é aplicado na OU atual, para que sua postura de segurança permaneça consistente.
-
Aplica controles obrigatórios à conta por meio dos SCPs que se aplicam à OU selecionada como um todo.
-
Ativa AWS Config e configura para registrar todos os recursos na conta.
-
Adiciona as AWS Config regras que aplicam os controles de detetive do AWS Control Tower à conta.
Trilhas em nível de contas e organização CloudTrail
Para as versões 3.1 e posteriores da zona de pouso, se você selecionou a integração opcional do AWS CloudTrail nas configurações da zona de pouso:
-
Todas as contas de membros em uma OU são regidas pela AWS CloudTrail trilha da OU, inscritas ou não.
-
Quando você inscreve uma conta no AWS Control Tower, ela é administrada pela trilha do AWS CloudTrail da nova organização. Se você já tiver uma implantação de uma CloudTrail trilha, poderá ver cobranças duplicadas, a menos que exclua a trilha existente da conta antes de inscrevê-la no AWS Control Tower.
-
Se você mover uma conta para uma OU registrada, por exemplo, por meio do AWS Organizations console ou, APIs talvez queira remover todas as trilhas restantes no nível da conta. Se você já tiver uma implantação de uma CloudTrail trilha, você incorrerá em cobranças duplicadas. CloudTrail
Se você atualizar sua landing zone e optar por não receber trilhas em nível organizacional, ou se sua landing zone for anterior à versão 3.0, as trilhas em nível organizacional não se aplicarão às suas CloudTrail contas.
Inscreva contas existentes com VPCs
O AWS Control Tower lida VPCs de forma diferente quando você provisiona uma nova conta no Account Factory do que quando você inscreve uma conta existente.
-
Quando você cria uma conta, o AWS Control Tower remove automaticamente a VPC padrão da AWS e cria uma VPC para essa conta.
-
Quando você registra uma conta existente, o AWS Control Tower não cria uma VPC para essa conta.
-
Quando você inscreve uma conta existente, o AWS Control Tower não remove nenhuma VPC existente ou VPC AWS padrão associada à conta.
dica
É possível alterar o comportamento padrão de novas contas configurando o Account Factory, para que uma VPC não seja configurada por padrão para contas na organização no AWS Control Tower. Para obter mais informações, consulte Criar uma conta no AWS Control Tower sem uma VPC.
Inscrever contas com recursos AWS Config
A conta a ser inscrita não deve ter AWS Config recursos existentes. Consulte Inscrever contas que tenham AWS Config recursos existentes.
Aqui estão alguns exemplos de comandos da AWS Config CLI que você pode usar para determinar o status dos AWS Config recursos existentes da sua conta, como o gravador de configuração e o canal de entrega.
Comandos de exibição:
-
aws configservice describe-delivery-channels -
aws configservice describe-delivery-channel-status -
aws configservice describe-configuration-recorders
A resposta normal é algo como "name": "default"
Comandos de exclusão:
-
aws configservice stop-configuration-recorder --configuration-recorder-nameNAME-FROM-DESCRIBE-OUTPUT -
aws configservice delete-delivery-channel --delivery-channel-nameNAME-FROM-DESCRIBE-OUTPUT -
aws configservice delete-configuration-recorder --configuration-recorder-nameNAME-FROM-DESCRIBE-OUTPUT
Exemplo de adição da função AWSControlTowerExecution
O modelo YAML a seguir pode ajudar a criar o perfil necessário em uma conta, para que ela possa ser inscrita programaticamente.
AWSTemplateFormatVersion: 2010-09-09 Description: Configure the AWSControlTowerExecution role to enable use of your account as a target account in AWS CloudFormation StackSets. Parameters: AdministratorAccountId: Type: String Description: AWS Account Id of the administrator account (the account in which StackSets will be created). MaxLength: 12 MinLength: 12 Resources: ExecutionRole: Type: AWS::IAM::Role Properties: RoleName: AWSControlTowerExecution AssumeRolePolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: AWS: - !Ref AdministratorAccountId Action: - sts:AssumeRole Path: / ManagedPolicyArns: - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess
